OVH Guide

Configurer un service OVH Load Balancer HTTP/HTTPS

Configuration d’un service Load Balancer

Introduction

Ce guide a pour but de vous aider à créer votre premier service HTTP/HTTPS avec la nouvelle offre OVH Load Balancer OVH. Nous allons ici configurer un service OVH Load Balancer simple pour répartir la charge HTTP d'un service, tel qu'un site web.

Nous allons vous guider au travers des différentes étapes, dépendant de vos choix d'architecture certaines configurations peuvent différer.

Avant de vous lancer, si vous ne l'avez pas encore lue, nous vous conseillons de consulter présentation générale du service OVH Load Balancer:

Dans ce guide nous allons configurer un service simple de LoadBalancing HTTP(S). Un Frontend écoutera sur le port 80 pour accepter les connexions HTTP et, optionnellement, un second Frontend pourra écouter sur le port 443 avec un certificat SSL/TLS pour accepter et chiffrer les connexions HTTPS des visiteurs. Ces Frontends seront configurés pour diriger leur trafic sur un Backend HTTP commun par défaut, avec un ou plusieurs Serveurs, selon votre configuration.

Pour rappel, le service OVH Load Balancer est composé de 4 parties élémentaires:

  • Les Frontends.
  • Les Fermes de serveurs et leurs Serveurs.
  • Les Routes avancée entre les Frontends et les Fermes de serveurs (bientôt disponible dans le manager).
  • Les certificats SSL/TLS permettant de chiffrer les connexions TCP et/ou HTTP.

L'ordre de création des éléments est important. En particulier, les Fermes de serveurs doivent être configurées avant de pouvoir leur attacher un certificat SSL/TLS ou des Serveurs. De même, les Frontends doivent être configurés après les Fermes de serveurs afin de pouvoir configurer la Ferme par défaut du Frontend.

Dans le Manager nous allons retrouver les fonctionnalités détaillées ci-dessous:

Service OVH Load Balancer

Pour plus d'informations sur les fonctionnalités du Manager, consulter la page

Via l'API OVH, dans la section

Ajouter une Ferme de serveurs

Nous allons ajouter une Ferme de serveurs HTTP à notre service, la partie en charge de répartir le trafic sur les serveurs.

Via le Manager

Dans l'onglet +Fermes de serveurs, cliquez sur le bouton +HTTP/S.

Remplissez les champs, les seuls champs obligatoires pour une configuration simple sont le ServiceName et la Zone. Il est recommandé de définir explicitement un Port, généralement le port 80 pour un service web. Si aucun port n'est pas spécifié, votre OVH Load Balancer utilisera automatiquement le même port que le Frontend correspondant et les probes pourront ne pas fonctionner comme attendu.

Si vous ajoutez plusieurs serveurs dans votre Ferme, il est recommandé de configurer une Probe HTTP. Lorsqu'une probe est configurée, le service OVH Load Balancer pourra automatiquement désactiver un serveur qui serait en panne ou en maintenance, de manière à ne pas impacter les visiteurs.

Ajout d'une ferme de serveurs via le Manager

Cliquez sur le bouton Ajouter une fois les champs remplis.

Votre Ferme de serveurs devrait apparaitre dans la liste, sous l'onglet Fermes.

Détails de la ferme de serveurs créée

Via l'API

  • Liste des Fermes de serveurs HTTP:

Ajouter un Serveur

Nous allons maintenant ajouter un serveur à notre Ferme de serveurs.

Via le Manager

Toujours dans l'onglet Ferme, sélectionnez la Ferme dans laquelle vous souhaitez ajouter un serveur en cliquant sur la ligne correspondante. La liste des Serveurs déjà configurés dans la Ferme apparaît en dessous de la liste des Fermes, ainsi qu'un bouton +Server. Cliquez sur ce bouton pour ajouter un nouveau serveur.

Seuls les champs Adresse IPv4 et État sont obligatoires. Si un serveur n'utilise pas le même port que celui défini plus haut dans la Ferme, il est possible de le surcharger dans la configuration du serveur. Cependant, afin de conserver une configuration la plus homogène et maintenable possible, il est recommandé de n'utiliser ce paramètre que dans les cas avancés.

Ajour d'un serveur dans une Ferme.

Cliquez sur le bouton Ajouter une fois les champs remplis.

Votre Serveur devrait apparaître dans la liste des Serveurs l'onglet Fermes, juste en dessous de la liste des Fermes.

Détails du serveur créé.

Via l'API

  • Liste des Serveurs de la Ferme:

Ajouter un Frontend

Nous allons maintenant ajouter un Frontend à notre service et le connecter à notre Ferme de serveurs. Le Frontend est la partie de votre OVH Load Balancer qui sert à exposer votre service sur Internet. Dans un premier temps, nous allons le configurer en HTTP uniquement, sans certificat SSL/TLS.

Via le Manager

Dans l'onglet +Frontends, cliquez sur le bouton +HTTP/S.

Remplissez les champs, les seuls champs obligatoires pour une configuration simple sont le ServiceName, le Port (80 pour un service web HTTP standard) et la Zone. Si vous souhaitez que votre service soit disponible sur plusieurs ports en même temps, vous pouvez spécifier une liste de ports séparés par des virgules ou une plage de ports de la forme "START_PORT-END_PORT".

Si vous avez routé des IP Failovers vers votre service OVH Load Balancer, vous pouvez également attacher un Frontend à une ou plusieurs IP Failovers spécifiques.

Ajout d'un frontend

Cliquez sur le bouton Ajouter une fois les champs remplis.

Votre Frontend devrait apparaître dans la liste, sous l'onglet Frontends.

Détails du frontend créé

Via l'API

  • Liste des Frontends HTTP:

Ajouter un certificat SSL/TLS

La section précédente décrivait la configuration générale pour un Frontend HTTP. Cette section décrit les étapes supplémentaires pour activer le support du protocole HTTPS sur un Frontend HTTP. En particulier, il faudra

  • Basculer le Frontend sur le port 443, standard pour le protocole HTTPS.
  • Configurer un certificat SSL/TLS afin d'authentifier et chiffrer les connexions.

Que vous optiez pour une configuration via l'API ou via le Manager, vous aurez le choix entre 2 stratégies pour vos certificats SSL/TLS. Le choix de la stratégie dépendra de vos besoin ainsi que des solutions actuellement en place.

  • Importer un certificat SSL/TLS existant.
  • Commander un certificat SSL/TLS géré automatiquement. La commande de certificats DV et EV arrivera prochainement.

Si vous optez pour l'importation d'un certificat SSL/TLS commandé et géré par vos soins, vous devrez le renouveler périodiquement vous même et le mettre à jour dans votre service OVH Load Balancer. La majorité des certificats sont valide pour 1 an. Certains peuvent l'être plus longtemps. Les certificats Let's Encrypt ne sont quant à eux valides que 3 mois. Il est recommandé d'utiliser le service géré automatiquement par votre OVH Load Balancer pour ces derniers afin de ne pas accidentellement rater une échéance.

Si vous optez pour un certificat géré par votre service OVH Load Balancer, celui-ci sera automatiquement commandé, validé, installé et renouvelé périodiquement par votre OVH Load Balancer. Pour que les opération de validation et de renouvellement fonctionne, il est nécessaire que le ou les domaines pour lesquels vous commandez ce certificat soient routés vers votre service OVH Load Balancer. Cela implique que les champs A et AAAA de votre domaine pointent respectivement sur l'IPv4 et l'IPv6 de votre OVH Load Balancer ou l'une de ses IP Failovers. Lors de la commande, vous recevrez un email qui vous guideras dans les étapes de la validation.

[!info]

Afin d'assurer la continuité de service lors du basculement de votre domaine vers l'IP de votre service OVH Load Balancer afin de valider votre certificat, une bonne pratique est de commencer par configurer et tester complètement la configuration HTTP sur le port 80. De cette manière, votre site reste accessible sans interruption. Si votre site dispose déjà d'une connexion HTTPS et que vous souhaitez migrer vers des certificats gérés par votre service OVH Load Balancer, vous pouvez importer vos certificats existants, configurer et tester votre Frontend HTTPS et enfin commander un nouveau certificat pour le même domaine. Il sera automatiquement pris en compte avant l'expiration de votre ancien certificat.

Les certificats configurés sur votre service OVH Load Balancer sont automatiquement disponible pour l'ensemble des Frontend de votre service OVH Load Balancer sur lesquels l'options SSL est activée.

Via le Manager

La liste des certificats SSL/TLS configurés sur votre service OVH Load Balancer se trouve dans l'onglet +Frontends, en dessous de la liste des Frontends. Cette interface vous propose les 2 options évoquées un peu plus haut, à savoir, importer un certificat +SSL existant et commander un +Certificat Let's Encrypt géré automatiquement par votre service OVH Load Balancer.

Boutons d'ajout de certificats

Si vous optez pour l'importation d'un certificat SSL/TLS existant, cliquez sur +SSL. Les champs Clef privée et Certificat.

Cliquez sur le bouton Ajouter une fois les champs remplis. Votre certificat apparaîtra alors dans la liste des Certificats actifs, sous la liste des Frontends disponibles.

Ajout d'un certificat existant

Pour ajouter un certificat Let's Encrypt, cliquez sur +Certificat Let's Encrypt, renseignez votre domaines, assurez vous que celui-ci pointe bien sur votre service OVH Load Balancer et laissez vous guider par les mails que vous recevrez. Vous le verrez ensuite apparaître dans la liste des certificats disponibles.

Command d'un certificat Let's Encrypt

Une fois votre / vos certificats configurés, vous pouvez créer un Frontend HTTPS, sur le même modèle que le Frontend HTTP créé plus haut avec le port 443 et l'option SSL active. Optionnellement, vous pouvez également activer l'option HSTS. Si cette option est active, les navigateurs enregistreront que ce site Internet ne dois plus jamais être visité sans HTTPS après leur première visite en HTTPS. Cela permet de renforcer la sécurité globale en se protégeant contre les attaques de type "Homme du milieu" dans laquelle un acteur malveillant pour faire croire que votre site Internet n'est pas disponible en HTTPS et forcer vos visiteurs à basculer en "HTTP".

Bien que l'ajout de sécurité soit conséquent, il est recommandé d'attendre quelques temps avant d'activer cette option, le temps de s'assurer qu'il n'y a pas d'effets de bords en HTTPS. En effet, une fois HSTS activé, il n'y a plus de retour arrière possible.

Via l'API

  • Lister les certificats SSL/TLS en place:

Appliquer les modifications

Les modifications apportées à votre service OVH Load Balancer soivent être appliquées explicitement dans chacune des zones configurées pour votre service OVH Load Balancer. C'est seulement à ce moment qu'elles seront visible pour vos visiteurs. Cela permet de faire un changement complexe de configuration en une seule fois.

Si vous avez plusieurs zones, vous devrez appliquer la même configuration pour chacune de vos zones.

Via le Manager

Rendez-vous sur la page principale de votre service OVH Load Balancer et cliquez sur les boutons Appliquer:Zone pour chacune des zones concernées.

Via l'API

  • Raffraichir une zone:

Validation

Une fois toutes ces étapes terminées, vous devriez disposer d'un service de répartition de charge fonctionnel, vous pouvez valider l'état du service en vistant votre site.